2024年2月16日
【Google Cloud】クラウド環境でお得なセキュリティ対策4選 (IaaS編)
- Category Google Cloud
はじめに
Google Cloud 環境では、セキュリティを保つための様々な仕組みがマネージドサービスとして準備されています。
本ブログでは一番基本的なIaaSサービスである「Google Compute Engine(以下、GCEと略記)」をベースに、Google Cloud 環境に組み込まれているサービスを利用して、お手軽に始められるセキュリティ対策についてご紹介できればと思います。
是非お得にクラウドを使い倒しましょう!
1.構成ミスや脆弱なポイントを特定する
知らず識らずのうちに混入してしまった構成ミスや設定漏れが、気が付かないまま放置されることで大きな事故につながることもあります。
そんな時、Google Cloud ではマネージド機能で基本的な検知を行うことが可能です。
・利用するサービス:
「Security Comand Center (以下、 SCCと略記)」に含まれる、以下2つのスキャン機能を利用します。
名称 | 機能 |
Security Health Analytics | Google Cloud アセットの最も重大な脆弱性と構成ミスを自動的にスキャン
検知できるアラート例: |
Web Security Scanner | ウェブ アプリケーションに対するセキュリティ脆弱スキャン
検知できるアラート例: |
・手順:
① ナビゲーションメニューの「セキュリティ」ー「Security Comand Center」より「スタンダードティア 」を選択します。
② その後、ウィザードに沿って設定を進めてください。
- 有効にするサービス:Security Health Analytics、Web Security Scanner
- サービスアカウントにロールを付与
設定変更は以上です。
・費用:
無料
もちろん、検知した内容をメールやSlack等に連携して通知することもできます。
無償版では基本的な範囲をカバーしてくれますが、機能的に物足りないという方は「プレミアムティア(有償版)」を選択いただくことで、より高機能なスキャンを実施することも可能です。
2.OSやミドルウェアの脆弱性を調査
IaaS環境を運用していくうえで避けて通れないのが、日々発生する脆弱性対策によるパッチ適用ではないでしょうか。
Google Cloudでは自動的にOSやミドルウェアをチェックし、脆弱性情報を調査してくれる機能があります。
一部のOSについてはCVE情報や重要度についても自動的に収集してくれます。
・利用するサービス:
VM Manager
・手順:
① ナビゲーションメニューの「APIとサービス」より、「OS Config API」を有効にします。
② ナビゲーションメニューの「Compute Engine」より、対象の仮想VMに対して下図のように「カスタム メタデータ」を設定します。
設定変更は以上です。
・費用:
仮想VM 100台まで無料
たったこれだけで、Google Cloud が勝手に脆弱性情報を取得してくれます。
現時点では対象OSによって取得できる情報が限られているのが残念なところですが、該当のOSを利用されている方は使わない手はないでしょう。
また、「Compute Engine」画面では脆弱性の情報を閲覧するだけですが、前述のSCCで「プレミアムティア(有償版)」を利用すると、SCCコンソール上でも脆弱性情報を統一的に確認ができ、脆弱性情報が更新された時には自動的に通知も行うことができます。
3.OSやミドルウェアの脆弱性パッチを適用
前項では脆弱性情報の調査でしたが、「VM Manager」ではパッチの適用もコンソールから実施できます。
・利用するサービス:
VM Manager
・手順:
① ナビゲーションメニューの「Compute Engine」-「VM Manager」-「パッチ」から、パッチを適用する仮想VMを選択します。
② 適用したいアップデートを選択します。
※ 今回は例として「curl」を選択しています。
③ ウィザードに沿ってバッチジョブを作成し、パッチを適用します。
以上で、パッチが適用されます。
・費用:
仮想VM 100台まで無料
今回は1台/1アップデートにて実施しましたが、複数台に対して、複数アップデートを実施することも可能です。
またスケジュール実行もできるため、運用負荷を軽減しながらアップデートを組み立てられるのではないでしょうか。
この機能も対象OSが限られているのが残念なところですが、該当のOSを利用されている方は使わない手はないでしょう。
4.監査ログの取得/保管
オンプレミス環境で監査ログを取得/保管する際には、あらかじめログ保管容量の設計、機材の準備、監査対象機器への設定などが必要です。
大規模な環境では監査対象台数が増えるにつれて、機器構成や作業ボリュームも増大しますし、一方、サーバ数台の小規模な環境では監査ログの仕組みがオーバースペックとなる傾向があるかと想定されます。
そんなハードルがある監査ログですが、Google Cloud 環境では自動的に取得/保管されています。
種類 | 記録内容 |
管理アクティビティ監査ログ | ユーザによって実施された構成変更に関する履歴 例: VM インスタンスの作成 IAMの権限変更 |
データアクセス監査ログ | 保管されているデータの作成/変更/読み取りに関する履歴 例: CloudSQLへのクエリ実行 Cloud Storage からデータの読み取り |
システム イベント監査ログ | Google Cloudによって実施された構成変更に関する履歴 例: VMインスタンス ホストのメンテナンスイベント |
ポリシー拒否監査ログ | セキュリティ ポリシー違反によるユーザーやサービス アカウントへのアクセス拒否履歴 例: VPC Service Controlsのポリシー違反 |
・利用するサービス:
Cloud Audit Logs
Cloud Logging
・手順:
実は、監査ログのうち以下の3つのログはデフォルトで取得されています。
- 管理アクティビティ監査ログ
- システム イベント監査ログ
- ポリシー拒否監査ログ
「データアクセス監査ログ」を保存する場合は設定変更が必要です。
※「データアクセス監査ログ」はデータアクセスのたびにログが発生するため、膨大なログ容量となる可能性がありますので、費用面もご考慮ください。
① ナビゲーションメニューの「IAMと管理」から「監査ログ」を選択し、ログ取得対象のサービスを選択して、取得したいログタイプ(管理読み取り/データ読み取り/データ書き込み)を選択します。
以上で設定変更は終了です。
取得されたログはナビゲーションメニューより「Cloud Logging」- 「ログ エクスプローラ」にて確認することができます。
・費用:
管理アクティビティ監査ログ:無料
システム イベント監査ログ:無料
データアクセス監査ログ: プロジェクトごと、50GiB/月 まで無料 (以降$0.50/GiB)
ポリシー拒否監査ログ:プロジェクトごと、50GiB/月 まで無料 (以降$0.50/GiB)
関連するログとして、Google Cloud での共有責任モデルを実現するうえで重要な、「Google の担当者がお客様のコンテンツにアクセスした際に行った操作」を記録する「アクセスの透明性ログ」というログもあります。
事前に「組織」の構成が必要となるため、本ブログでは詳細は割愛せていただきます。
5.まとめ
今回ご紹介した機能をまとめると、以下のようになるかと思います。
- 基本的な設定ミスを自動的にチェック
- 面倒なパッチ調査/パッチ適用も Google Cloud コンソールから実施可能
- 監査ログも設定一つで取得・保管が可能
今回は簡単に設定できるIaaSセキュリティに焦点をあてた内容でしたが、
大掛かりな設備をあらかじめ準備しなくても、使いたいときに使った分だけ支払うことができるのが
クラウドの大きなメリットです。
ランニング費用に含まれているメリットを活用しながら、TCOを見据えた最適なシステム環境をご検討いただければと思います。
最後まで読んでいただき、ありがとうございました!
当社システムサポートは、Google Cloudの導入・移行・運営支援を行っています。
クラウド移行含めた最適なシステム環境構築のご相談は、以下よりお願いいたします!
ご意見・ご相談・料金のお見積もりなど、
お気軽にお問い合わせください。